卡巴斯基揭露賓士車載娛樂系統多個資安漏洞細節

資安公司卡巴斯基（Kaspersky）近日公開了超過十個存在於賓士（Mercedes-Benz）車載娛樂系統MBUX中的資安漏洞細節。賓士方面已確認這些漏洞已被修補，並強調這些漏洞的利用難度較高。

這項針對賓士車載娛樂系統（Mercedes-Benz User Experience，簡稱MBUX）第一代產品的研究，是基於2021年一個中國研究團隊的前期發現所進行的深入調查。卡巴斯基已於近日發布了研究發現，並開始陸續公布各個漏洞的詳細資訊。

根據卡巴斯基的研究，這些漏洞可能導致多種資安威脅，包括系統服務中斷（DoS）攻擊、資料竊取、命令注入以及權限提升等問題。研究團隊表示，若攻擊者能實際接觸到目標車輛，可能透過USB或自製UPC連接器利用這些漏洞來停用車載主機的防盜保護、進行車輛調校，以及解鎖付費服務。

雖然這些漏洞已被分配2023年和2024年的CVE編號，但根據賓士向外媒表示，該公司早在2022年就已經知悉卡巴斯基的研究發現。賓士發言人表示，公司早在2022年8月就已經收到外部資安研究人員關於第一代MBUX系統的漏洞報告。他強調，要利用這些漏洞需要實體接觸目標車輛、進入車內，並且需要拆除並打開車載主機。賓士方面也指出，較新版本的車載娛樂系統並不受這些漏洞影響。

該公司表示產品與服務的資安防護一直是其優先考量事項，並呼籲研究人員透過其漏洞揭露計畫回報相關發現。值得注意的是，這並非賓士首次面臨資安威脅。先前就有研究人員披露可能允許遠端入侵賓士車輛的漏洞，去年也曾發生賓士員工不慎洩露GitHub權杖，導致公司GitHub Enterprise伺服器上所有原始碼可能被存取的事件。

本文轉載自securityweek。